一旦一臺電腦被感染,它就會無聲息的等待僵尸操控者的命令,僵尸控制者把這些僵尸計算機組成一個龐大的僵尸網絡然后在因特網上大量制造垃圾郵件和其它惡意軟件。
你也許不能完全堵塞僵尸網絡的入侵,但是通過多層次的僵尸獵捕技術和一些基本常識,你可以將僵尸網絡的威脅最小化。
每個人都有可能感染了僵尸病毒
在你與僵尸病毒作斗爭之前,你應該知曉這一問題的范圍。“我們一直否認僵尸網絡的規模,”Michael Barrett說,他是總部位于San Jose,加利福尼亞州(美國)的PayPal公司的首席信息安全官(CISO)。
實際上,最近一項對于394名Network World讀者的網絡安全調查的回執表明,高達43.7%的認為受到威脅的客戶機并不是一個嚴重的問題。另外30.2%的人則稱他們并沒有見到過網絡中的計算機受到感染的證據。
接近75%的回答者并沒有對這一問題引起高度重視,這并不就意味著危險不存在,Support Intelligence的CEO(首席執行官)Rick Wesson說,這家公司專門跟蹤僵尸病毒的爆發情況。每一天,公司都會追蹤到各種各樣來自于受到受感染客戶的危險的和欺詐性的垃圾郵件。
“一系列的惡意行為表明僵尸網絡的控制者是相當的聰明,操作系統是很脆弱的,幾乎每一個人都會感染僵尸病毒,絕大多數的公司都有相當嚴密的網絡,但是你認為你的公司不會有僵尸網絡的想法是很幼稚的。我們有足夠的數據表明,世界1000強的企業中,相當一部分都感染了僵尸病毒。”他說。
如果這些世界1000強的企業不能阻止僵尸病毒的話,那些小的企業或是客戶就不要指望任何奇跡了。安全服務提供商Cyveillance公司的安全部門主管Ken Lloyd說,中小企業很少有足夠的資源升級安全設施或是監測網絡和計算機的的異常流量類型。Ken Lloyd還說,消費者現在的風險是最大的,因為他們只有最少的安全保障。
“企業也同樣存在問題,這一點是毋庸質疑的,”入侵檢測(IDS)軟件制造商Sourcefire的首席技術官(CTO)Martin Roesch說。企業是最脆弱的,因為他們的很多計算機都不能應對惡意軟件的攻擊。“隨時都會有問題——當人們在即時通訊時遭遇垃圾郵件,或者是木馬和其它病毒,或是在他們的收件箱中收到這些東西,或是他們的IE瀏覽器和火狐瀏覽器本身的漏洞。”他說。實際上,Gartner估計在本年度末的是時候大概會有75%的企業會感染上僵尸病毒。
因特網上的犯罪化問題
在過去的幾年中,僵尸控制業已成為以盈利為目的的有組織犯罪行為。利己思想的年輕人發動DoS攻擊的時代已經一去不復返了。例如,去年暑假發生在倫敦的一次逮捕就包括一名63歲的老人,另外2個分別是28歲,19歲。而現在僵尸控制者組織更為嚴密,更加專業,也對秘密行動更有興趣。
“在這一行為中,按理來說應該有一個分配的渠道。其中有人負責制造,有人負責銷售,還有人使用。一個人不可能完成從創造到使用的全部事情。”Lloyd說,“操控這些事情的人基本上已經變成了有組織犯罪。”
現在明確的是,僵尸計算機的掌握者正在從事著高回報的事情,譬如,垃圾郵件,通過鍵盤記錄的偷竊事件,點擊欺騙,以及盜版軟件的傳播。
與之相關的金錢的數量和規模是相當大的,研究者透露說。例如,點擊欺騙占到了總點擊數的14%,并且占據了高價廣告的20%,ClickForensics的數據表明。IncreMentalAdvantage說,去年一年大概花費了廣告商666,000,000美圓。商業軟件聯盟宣稱世界上25%的軟件是盜版的,給軟件開發商造成了數十億美圓的損失。
黑市交易平臺——人們在上面購買,銷售,簽署僵尸網絡契約的行為也大幅度增加了。
“僵尸網絡是地下經濟的一個很大的部分……這是一個新的轉變,一個我們在過去6個月里所看的爆發性增長的事物,”Oliver Friedrichs說,他是Symantec Security Response的潛在技術部門的主管。在這些服務器上,犯罪分子門倒賣從僵尸計算機那里獲取的信用卡號。
對僵尸網絡的斗爭
因為現在的僵尸牧人很明顯已經花費了大量的資源來管理和運行他們的僵尸網絡,他們對于增加他們所管理的僵尸網絡的數量的醒悟減少了。Symantec的報告稱,在2006年的下半年,僵尸網絡的指揮控制服務器減少了25%,這也就暗示著僵尸牧人正在鞏固和使他們的網絡變得更大,這家公司稱。
層出不窮的攻擊方式使安全研究者懷疑現在的僵尸牧人正在內訌并且互相攻擊對方。一些惡意軟件的目標很可能是癱瘓競爭的對手的靶標;在這一過程中導致了網絡的大災難。例如,最近有一種蠕蟲病毒的針對對象就是訪問過Pump-and-dump網站的計算機。網絡監測公司Websense報道說,計算機感染上這種病毒之后會不停的重啟,使得計算機無法正常工作,當然也使得非法工作無法進行。
因為僵尸牧人對保持他們的數以百萬計的受感染的計算機處于秘密狀態更加感興趣,他們會激活一臺計算機,傳播大量的垃圾郵件或是運行點擊欺詐的游戲,然后迅速斷開連接。Rootkit感染對操作系統的損害是無形的。并且僵尸牧人通過HTTP控制他們的的機器(并不是一定要利用即時通訊);這意味著在你的網絡上偵察出僵尸病毒是很難的。
社會網絡疾病
更令人擔憂的是現在的僵尸牧人開始利用有毒的博客,交互站點腳本或是框架頁面等技術,這些都不需要用戶采取任何行動,比如說點擊郵件的附件,就會使用戶感染。如果一臺操作系統和瀏覽器有問題的PC訪問了一個包含有惡意代碼的網站或是博客的話,可能在不知情的情況下就感染了。惡意的JAVA腳本,有時是在廣告軟件里面,就會自動下栽到計算機中。然后就會指向另外一個惡意網站來獲得命令,這樣一個僵尸就形成了。隨著在一個共享服務器里的不貴的網絡主機的流行,黑客就能利用某個操作系統的漏洞訪問很多網絡服務器。
染毒的博客和交互站點腳已經存在有些年了,他們就是在合法的網站中植入惡意的代碼。盡管如此,僵尸牧人找到了新的利用他們的方法。一個最臭名昭著的例子就是,在超級碗的比賽之前,僵尸牧人襲擊了海豚體育館的網站——而這時候有數千人正等著買票。
社會網絡也有變成了惡意軟件的臭水溝,因為這些網站允許用戶上傳和共享文件夾,數據和其它的潛在的惡意代碼。只要有框架頁面,看不見的框架就能被用來在不被發現的情況下自動從受到威脅的網站上下栽惡意軟件,在博客上和社會網站上也是一樣的。
“網絡站點和社會網絡站點——在這些站點上有如此多的私人信息和用戶,那里是信息的金礦,”Chris Boyd說,他是FaceTime Communications公司的惡意軟件研究的主管,這家公司專注與保護實時通訊應用程序的安全,譬如說IM 和VoIP。
